Ich traue Google nicht. Warum das neue Dashboard trotzdem hilft

Ich kenne „Die Google Falle“, bin skeptisch gegenüber allen amerikanischen Weltverbesserungunternehmungen und empfehle „Das Lied vom Datenkraken“ für die Charts:

Du willst meine Seele speichern
um dich daran zu bereichern
Nichts an mir ist dir egal
du schlägst aus allem Kapital

Aber die Behauptung, das neue Google Dashboard habe nichts mit Datenschutz zu tun, halte ich für unbedacht, vielleicht sogar populistisch.

Ja, das Dashboard bündelt nur, was vorher bereits im Einzelnen zu sehen war:

Neue Informationen darüber, was über einen gespeichert wird, liefert Dashboard nicht. Alle Einstellungsmöglichkeiten gibt es längst bei den einzelnen Anwendungen wie Blogger, Google Alerts, Kalender, Mail oder Reader. Man kann sie nun lediglich auf einen Blick erkennen.

(Kai Biermann auf ZEIT online)

Ist das nun schon „Datenschutz“ oder nicht? Ja, denn die Auskunft über gespeicherte Daten ist eine wesentliche Voraussetzung, damit ich mein Selbstbestimmungsrecht wahrnehmen kann. Ja, denn Google realisiert, wozu viele andere Datenverarbeiter nicht willens oder in der Lage sind.

Womit beginnt ein neuer Datenschutzbeauftragter seine Tätigkeit in einem Unternehmen oder einer Behörde? Vereinfacht gesagt: Er verschafft sich einen Überblick über die vorhandenen Datenverarbeitungen und verfolgt dabei wie ein digitaler Rutengänger die Datenströme im Haus und außerhalb. Als guter Datenschutzbeauftragter setzt er dabei gleich seine Prüferbrille auf: Rechtmäßigkeit? Erforderlichkeit? Zugriffsrechte? Die Liste ist lang.

Ein Ergebnis seiner Bemühungen ist das  Verfahrensverzeichnis nach § 4g Absatz 2  BDSG. Die Übersicht bündelt einige grundlegende Angaben über den Datenbestand des Unternehmens. Ein  Ziel des Gesetzgebers war es, betroffenen Mitarbeitern oder Kunden einen schnellen Überblick über potentielle Datenbestände zur eigenen Person zu verschaffen, sozusagen eine Vorstufe des konkreten Auskunftsanspruches. Deshalb soll dieses Verzeichnis „auf Antrag jedermann in geeigneter Weise verfügbar“ gemacht werden.

Über Sinn und Unsinn von Verfahrensverzeichnissen kann man streiten. Praktisch ist das Modell aus meiner Sicht gescheitert, die meisten Verzeichnisse sind nur Makulatur.

Der Umweg zur Datenauskunft über zentrale Datenregister, Meldepflichten und öffentliche Verfahrensverzeichnisse stammt noch aus einer Zeit vor der allgemeinen Verbreitung des Internets. Heute kann und sollte ich meine Rechte als Betroffener direkt wahrnehmen; zwei Aspekte dabei:

Unternehmen müssen in der Lage sein, mir auf einfache Weise einen Überblick über meine gespeicherten Daten (incl. Herkunft und Weitergabe)  zu geben. Schnell, kostenlos. Der Zugriff darf nur authorisiert erfolgen.

Insbesondere will ich selbst bestimmen, über welche Kanäle ich beworben werde, ob meine Daten weitergegeben werden und an wen. Notwendig dazu ist ein Einwilligungsmanagement durch den Anbieter, damit ich nachvollziehen kann: Wann habe ich wie zugestimmt? Wie kann ich widerrufen?  Beispiel Quelle-Insolvenz: Es sollte mich zukünftig keinen Musterbrief, sondern nur drei Klicks kosten, um mich aus der Kundendatenbank zu verabschieden.

Vermutlich sind die im Google Dashboard dargestellten Daten nur die Spitze des Eisberges. Deshalb müssen neben die Auskunftsansprüche der Betroffenen auch regelmäßige Kontrollen der Aufsichtsbehörden treten, meinetwegen auch Zulassungsverfahren oder Zertifizierungen.

Dennoch sollte seine Übersichtlichkeit als Vorbild für andere Großdatenverarbeiter dienen.  Beispiel SAP: Versuchen Sie mal, Ihre Betroffenenrechte gegenüber einem SAP-ERP-System durchzusetzen, egal ob als Unternehmensmitarbeiter oder Kunde. Die Seiten 60-65 im „Leitfaden Datenschutz SAP ERP 6.0 “ der DSAG beschreiben nüchtern, was alles NICHT möglich ist; z.B:

„Es gibt im SAP-Standard keinen Report, der sozusagen auf Knopfdruck alle zu einer Person gespeicherten Daten für die Auskunftserteilung oder zur Benachrichtigung eines Betroffenen anzeigt oder ausdruckt.“

„Es gibt keine Standardfunktion, die den Zugriff auf historische Daten mit personenbezogenen Angaben, die nur noch aus Gründen der Aufbewahrungspflichten gespeichert werden, beschränkt – auch wenn alle buchhalterischen Abschlusstätigkeiten erledigt sind.“

„Explizite Funktionen zur Sperrung von Daten einzelner Personen sind im SAP ERP-System z. Z t. nicht vorhanden.“

In vielen komplexen Unternehmen und Anwendungen sieht es nicht besser aus. Personendatenbestände lagern verstreut in den verschiedensten Datenbanken. Das erschwert Auskünfte , Werbewidersprüche, Löschungen, aber auch durchgehende Zugriffsberechtigungskonzepte (und erleichtert gleichzeitg unkontrollierten Datenabfluss).

Meine Daten im Überblick: Was im kleinen Online-Shop noch funktionieren kann (aber nicht muss), wird in Sozialen Netzwerken schon schwierig, bei ERP- oder Krankenhausinformationssystemen zur Sisyphosarbeit und beim Cloud Computing fast unmöglich.
Google Dashboard schlägt sich in diesem Vergleich wacker, sollte aber nicht die letzte Werbebotschaft in puncto Transparenz und Datenschutz bleiben.

P ERP 6.0

Advertisements

3 Kommentare

Eingeordnet unter Datenschutz im Alltag, Datenschutz im Unternehmen, Datenschutzbeauftragte, Google

3 Antworten zu “Ich traue Google nicht. Warum das neue Dashboard trotzdem hilft

  1. Pingback: Anonymous

  2. manuel

    Eine Frage hab ich dennoch, vielleicht kann mir die jemand beantworten. Ab wann muss ein Verfahrensverzeichnis für den Datenschutz zur Datenauskunft geführt. Gilt das nur für grösseren Unternehmen, oder auch für Startups und kleinere Unternehmen.

    Eine zweite Frage, was passiert, wenn kein Verfahrensverzeichnis geführt werden kann(hier im Beispiel von SAP)

    Was passiert, wenn eine gewünschte Löschung der persönlichen Daten eines Unternehmens nicht möglich ist, man denke z.b. an ein Forum, an deren Beiträge die Nutzerdaten hängen

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s